交易所安全测试--APP安全 · 下篇

App安全

• 秘钥硬编码安全检测

• 数据存储安全检测

• 数据传输安全检测

• 日志信息泄露检测

• App组件导出检测

• App组件权限检测

• webview 多项漏洞安全测试

• App Webview DOM 安全测试

• 本地SQL注入安全测试

• SQLite 存储安全审计

另一个加密key在so文件中，通过逆向可以获取：

这样一来即可通过修改数据后重新签名构造任意数据了，加签也就失去了意义。

对apk进行逆向获取到加密方式为aes cbc补码方式为pkcs7。

在反编译源码中未查询到aes秘钥相关信息 对apk进行解压 在静态资源文件中发现aes_key与aes_iv。

如果安卓手机用户的app文件存放在external storage，例如SD卡，那这些文件就是全局可读写的，external storage可以被任何用户操作，且可以被所有的应用修改使用。

零时科技安全团队在对某交易所app进行安全测试时，使用动态方法监测/data/data/<packagename>/目录下所有生成的目录是否带有明文信息泄露。

进入到/data/data/com.xxx.wallet/shared_prefs目录，查看config.xml文件，此文件存储了用户的支付信息等非常敏感的信息，而这些信息可被其他用户接触导致信息被盗取等。

零时科技安全团队建议，app的敏感数据不要存放在external storage，如若不得不这样做，请对数据进行加密处理。

在APP的开发过程中，为了方便调试，通常会使用log函数输出一些关键流程的信息，这些信息又通常会包含敏感内容，如执行流程、明文的用户名密码等。这会让攻击者更加容易的了解APP内部结构方便破解和攻击，甚至直接获取到有价值的敏感信息。

零时科技安全团队在对某交易所app进行安全测试时，检测存在漏洞，程序中使用Log.v、Log.d、Log.e、Log.i、Log.w、Log.f、Log.s函数对日志信息输出，在反编译apk后，在源码中查找到日志信息输入接口函数，如下图：

零时科技安全团队建议各大交易所app开发人员移除Log打印。

检测app中Activity、activity-alias、service、receiver组件对外暴露情况，如果检测到组件的exported属性为true或者未设置，而且组件的permission属性为normal或者dangerous或者未设置组件的permission属性时，app将存在组件导出漏洞，导致数据泄露和恶意的dos攻击以及钓鱼攻击。

零时科技安全团队在对某交易所app进行安全测试时，检测到该app存在Activity组件导出漏洞。

检测app中Activity、activity-alias、service、receiver组件对外暴露情况，先检测组件的exported属性，再检测组件的permission对应的protectionlevel属性。

具体检测存在漏洞的方法如下:

零时科技安全团队建议：

• 最小化组件暴露。对不会参与跨应用调用的组件添加android:exported=”false”属性。

• 设置组件访问权限。对跨应用间调用的组件或者公开的receiver、service、activity和activity-alias设置权限，同时将权限的protectionLevel设置为”signature”或”signatureOrSystem”。

• 组件传输数据验证。对组件之间，特别是跨应用的组件之间的数据传入与返回做验证和增加异常处理，防止恶意调试数据传入，更要防止敏感数据返回。

此类安全问题的检测，使用adb工具将sqlite数据库拖到本地，使用sqlite数据库连接软件查看是否存在敏感数据即可。如下为零时科技安全团队测试某交易所app发现的漏洞范例。